![]() |
Zitat:
Das Spiel hat Dir sicherlich nicht das atapi-Rootkit beschert, aber die Einträge waren ja im GMER Log zu sehen. Gerade Kopierschutztreiber der Spiele nisten sich auf derartig "niedrige" Ebene ein, weil der Hersteller ja einen möglichst effektiven Kopierschutz haben will, den nicht mal eben jeder Laie aushebeln kann :blabla: Ich denke dann sind alle Dateien soweit geklärt bis auf die spbs.sys. Achso, und sptd und aln89xqi.SYS gehören zu den Daemon-Tools für virtuelle DVDROM-Laufwerke falls Du fragst ;) |
Naja gut ich glaubs ich habs verstanden. spbs.sys ist böse, aber die anderen kann gmer einfach nur nicht leiden. UNd wohin hat sich sbps verkrochen? MAlware bytes hat übrigens schon zwei sachen gefunden |
Zitat:
|
Die Tatsache das google spbs.sys nicht kennt drängt den gedanken dazu auf... Soll ich jetzt einfach mal schauen was malwarebytes so findet und dann wegmachen? Ich kann ja theoretisch ganz einfach rausfinden, ob ich noch ein Rootkit hab. Ich schließ einfach die Sicherheitslücke und wenn das Rootkit den Bootup lahmlegt, ist es ncoh da. Korrekt? [edit] Könnte es sein dass das Resident Shiel von AVG die ganzen Virenscans verlangsamt? |
1.) Lass erstmal Malwarebytes durchlaufen und poste dann das Ergebnis. 2.) Du wolltest Fahrenheit (testweise?) komplett deinstallieren. mach das mal, starte den Rechner neu und lass wieder GMER scannen. Wenn ithsgt und spbs oder nur noch die spbs.sys übrigbleibt, lässt das weitere Rückschlüsse zu. 3.) Du kannst auch mal (temporär) Daemontools deinstallieren. Dann sollte der SPTD Treiber weg sein, wenn spbs auch dazu gehört, der dann hoffentlich auch. Ich kann im Moment nämlich selbst die Datei spbs.sys nix zuordnen, will wissen was das ist. Was genau meinst Du mit Sicherehitslücke schließen? :confused: |
Zitat:
http://www.heise.de/newsticker/meldu...en-930043.html Zitat:
Malwarebytes hat schon 120000 Dateien gescannt in der letzten Stunde. ICh habe etwas sehr interessantes gefunden. ICh versuchte grade den residenten SChutz abzuschalten (es geht nicht) und hab in die history gekuckt und folgendes gefunden: Code:
|
Zitat:
Zitat:
Aber achte mal aufs Datum, gestern wurde über Linux die schädliche atapi.sys mit einer sauberen überschrieben und der 16. Feb ist der letzte Eintrag, also wie ich sagte: Rootkit weg! :) |
Angenommen das rootkit hat mein avg nicht infiltriert & Avg erkennt ale rootkits. Wieso hab ich die hinweise nciht bemerkt? hab grad meine schwester gefragt, des am freitag muss sie gewesen sein. aber am donnerstag war ich am pc (hab zu dem zeitpunkt nen film gekuckt) und es sollten 3 Meldungen in 10 minuten gekommen sein. Ist mein System jetzt also sauber? (abgesehen von dem scheiß was malwarebytes findet es sind immer noch nur zwei infizierte dateien) [edit] Das log ist fertig, es sind doch 5 dateien geworden. Ich wüsste nicht, dass bei den firewall einstellungen was verändert hab, ichm uss das mal prüfen. Code: Malwarebytes' Anti-Malware 1.44 [edit2] Ich hab nach geschaut. Es ist eingestellt, das ich darauf hingewiesen werde, wenn ein Programm geblockt wird. -> d.h.: disableNotify - disabled. Was ist daran jetzt "bad"? Der andere Key sagt mir nix. Ich lösch dann mal das Trojanerzeugs [edit3] jetzt reboote ich gschwind |
Ich kontrolliere immer mehrere Logfiles von verschiedenen Tools und frage immer nach dem Verhalten des Systems, dann lässt sich mE nach sehr gut abschätzen, ob die Gefahr etaiger Reste gegeben ist oder nicht. Wer sicher gehen will und/oder muss, dem bleibt nur Formatieren und anschießende Neuinstallation von Windows...oder Zurückspielen eines sauberen Images (kommt der Neuinstallation gleich) Mach bitte noch ein Log mit CF, das Tool hatte ich anfangs erwähnt, wollte es aber ganz am Anfang noch nicht einsetzen (!) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Kannst du bitte bei meinen ersten beiden logs noch bitte meinem Namen rausmachen? mir ist aufgefallen, dass ich das vergessen hab. ComboFix lässt meinen PC mich ganz laut anpiepsen... Hab ich gar nicht gern. Wieso ist denn die Systemwiederherstellungskonsole bei mir nichtinsatlliert naja egal. Also combo fix ist feritg, hier ist das log. COOL!!!!:Boogie: es hat die datei emergency room endlich gelöscht! die wahr schon monatelang bei mir auf dem Desktop! Kurz nachdem neuaufgestzt wurde hab ich aus Versehen das da downgeloadet und dann hab ich auf abbrechen gedrückt und irgendwie hats gelaggt, naja auf jjeden fall war da jetzt auf meinem desktop eine datei mit "0B" und ich hab sie nicht weggekriegt. Aber wieso es Es search settings gelöscht ha tweiß ich net, da sist doch von MS Search und eigentlich in ordnung Mir ist beim überfliegen aufgefallen, dass das da schon recht detaillierte daten sind, die nicht ganz jeder immer lesen können sollte, kannst du bitte es löschen/mir sagen dass ichs löschen soll , wenn dus durchgelesen/gespeichert hast? Code: ComboFix 10-02-16.03 - ***Computername*** 17.02.2010 21:38:48.1.1 - x86 |
Ich kann nichts editieren, bin weder Mod noch Admin :D Melde Deinen Beitrag (neben Online-Status) mit ner kleinen Beschreibung Zitat:
Ansonsten seh ich da nichts Aufälliges. Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten. |
Guten MOrgen:kaffee: Wyzo ist ein auf Firefox basierender Browser von Radical Software. Ich habe doch erst gestern ein Malwarebytes scan gemacht... na gut ,dann mach ich halt noch einen... Seitdem ich Combofix laufen hat kommt nach dem login immer ca. 1 min. lang "Computer ist evtl. nicht geschützt. Win Firewall ist deaktiviert." Früher war sie immer von anfang an aktiviert. Außerdem hab ich noch ein Problemchen ein sehr kleines problemchen Seitdem ich nicht mehr Wyzo benütze kommt bei Firefox manchmal beim Start ne Tracking cookie Warnung von resident shield. Manchmal, nicht immer direkt nach dem Booten, normalerweise nicht hintereinander, aber sehr unregelmäßig & oft ca. einmal pro tag. ich schieb den immer in quarantäne, aber der das verlangsamt den firefox start doch sehr. Aber trotzdem kann ich machen was ich will, das Teil kommt immer wieder. Wie krieg ich das weg? ein tracking cookie bringt mich nicht um, weil ich kein online banking mach und bis jetzt wurde keiner meiner accounts gehackt, bzw. haben spam verschickt. welche Add-ons oder webseiten könnten es verursachen? Habe folgende Add-ons: firegestures, java quick starter, MS .net framework assistant, search preview, skipscreen, smart bookmarks toolbar. Hab nur die default theme & folgende plugins: Adobe acrobat, Divx player netscape plugin, divx web player, facebook, google earth, google update, java platform se 6 u13, java platform se 6 u15, pdf x-change viewer, shockwave flash, shockwave for director, silverlight plugin, vlc multimedia, win presentation foundation. Hier mal ein teil vom log vom resident shield. Manchmal sind es andere tracking cookies. DAs geht schon so seit anfang november. Mir ist grad aufgefallen, wyzo hatte auch solche meldungen (die gleiche datei am gleichen ort). Aber nur einmal pro woche. Ich check mal meine browserchronik, ob ich irgendwelche bösen seiten zu der zeit besucht hab. Code: "Tracking cookie.Webtrends gefunden";"C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vk0fcmhe.default\cookies.sqlite";"In Virenquarantäne verschoben";"17.02.2010, 21:23:18";"Datei";"D:\Programme\Mozilla Firefox\firefox.exe" |
Malwarebytes hat nix gefunden: Code: Malwarebytes' Anti-Malware 1.44 |
Zitat:
Zitat:
Zitat:
|
Zitat:
Zitat:
Zitat:
Um die Cokkies kümmer ich mal, aber dir ist schon aufgefallen, dass das eine .sqlite datei is (whatever this means), und nichht irgendein stinknormaler Cookie im Cookieordner? [edit] Hab mal die unnötigen Cookies gelöscht. War auch was von m.webtrends.com dabei (darüber hat sich avg grad wieder beschwert). aber kein ivwbox, auch kein doubleklick.net (das sind die fiesesten, die haben iwas mit googleads zu tun) liegt wohl an adblockplus :applaus: Ich auch die checkbox "cookies von drittanbieteern nicht erlauben" gecheckt. Das heißt ja dass nur die Seiten, die ich wirklich besuche, cookies speichern dürfen und alle andern nicht, oder? |
Alle Zeitangaben in WEZ +1. Es ist jetzt 22:54 Uhr. |
Copyright ©2000-2025, Trojaner-Board